最近中國大陸許多平台都在討論一個新名詞「養龍蝦」。其實這並不是養殖熱潮,而是一款AI工具突然爆紅帶來的網路現象。名為OpenClaw的AI智能軟體因為圖標長得像龍蝦,被網友戲稱為「養龍蝦」,不少人下載後訓練它幫忙工作。不過隨著安全風險被中國官方點名,許多使用者也開始紛紛卸載,讓這股AI熱潮迅速出現反轉。
★延伸閱讀★「小龍蝦」OpenClaw 爆紅 中國急發安全警示
綜合陸媒報導,一款名為OpenClaw的AI智能軟體在中國科技圈迅速走紅。這款工具過去曾使用Clawdbot、Moltbot等名稱,如今改名OpenClaw重新推出。由於應用圖示看起來像一隻龍蝦,網友便把安裝與訓練這款AI助理的過程戲稱為「養龍蝦」。不少使用者表示,這個AI不只是聊天機器人,還能直接執行任務,例如整理文件、處理資料甚至自動完成部分工作。此外,OpenClaw還能透過長期使用記住用戶習慣與偏好,逐漸成為能夠「自己做事」的AI助手,因此在短時間內吸引大量用戶下載,中國多個雲端平台甚至推出一鍵部署服務。
不過這隻「龍蝦」看似方便,其實也可能「夾手」。根據中國國家互聯網應急中心3月10日發布的安全提示,OpenClaw在使用時往往需要取得較高系統權限,才能操控本地文件與應用程式。官方提醒,一旦權限過大且缺乏管控,AI在執行任務過程中可能接觸到用戶的敏感資料,因此建議使用者將其與核心隱私資料隔離,避免重要資訊被存取。此外,AI在執行任務時需要頻繁調用大型語言模型,Token(詞元)消耗量遠高於一般聊天模型。若執行複雜任務,費用可能暴增,甚至一次任務就可能花費上萬元人民幣。高權限與高成本兩大問題,也讓不少原本嘗試「養龍蝦」的使用者開始重新評估是否繼續使用。
3月13日,國家網路與信息安全信息通報中心再次發布風險預警,指出OpenClaw存在多項安全隱患。首先,在架構設計方面,OpenClaw採用多層系統,但每一層都可能成為攻擊入口。例如即時通訊閘道層可能被偽造訊息繞過身分驗證,而執行層與作業系統直接互動,甚至存在被完全控制的風險。其次是預設配置問題。官方指出,OpenClaw預設綁定0.0.0.0位址並開放所有外部IP訪問,遠端存取甚至不需要帳號認證。API金鑰與聊天紀錄也可能以明文形式儲存,使敏感資訊容易外洩。
官方統計顯示,OpenClaw歷史上揭露的漏洞多達258個,其中近期新增的82個漏洞中就包含12個超高風險漏洞與21個高風險漏洞。這些漏洞主要涉及指令注入、程式碼注入、路徑遍歷與存取控制問題,且攻擊難度普遍不高。此外,插件生態也被點名存在安全隱患。研究人員分析ClawHub平台3016個技能插件後發現,其中336個插件含有惡意程式碼,占比達10.8%。部分插件還會從第三方網站下載不可信內容,甚至能在執行時動態載入外部程式,使攻擊者能遠端修改AI行為邏輯。
中國官方指出,OpenClaw智能軟體在執行任務時可能出現權限失控情況,導致越權操作。在極端情況下,AI甚至可能刪除用戶資料、竊取個人資訊,或接管使用者設備,帶來重大經濟損失。因此官方也提出多項防範建議,包括及時更新版本、避免公開網路部署、只從官方渠道下載插件、啟用強化帳戶認證,以及限制AI的操作權限。隨著AI工具功能越來越強大,安全問題也逐漸浮現。這波「養龍蝦」熱潮不僅反映出AI技術的吸引力,也提醒使用者在享受便利的同時,更需要提高資安警覺。
